Cyberthreat.id - Ransomware DoppelPaymer diduga sedang membidik sektor ritel untuk memperluas serangan. Baru-baru ini, DoppelPaymer menargetkan Avon, salah satu merek global yang memproduksi dan mendistribusikan produk kosmetik.

DoppelPaymer diketahui berbagi sebagian besar kodenya dengan ransomware BitPaymer.

Avon, yang 76 persen sahamnya dimiliki oleh raksasa Brasil Natura & Co, mengalami serangan ransomware yang diduga dilakukan oleh DoppelPaymer. Pada 8 Juni, Natura & Co mengonfirmasi anak perusahaannya, Avon, telah mengalami insiden serangan cyber serius di lingkungan IT-nya. 

Ketika itu, Reuters menuliskan serangan siber terhadap Avon menghantam sebagian besar operasional perusahaan, sistem terpaksa offline yang mengakibatkan harga sahamnya jatuh di pasaran.

"Distributor Avon juga melaporkan masalah dengan mengakses backend perusahaan di Inggris, Argentina, Brasil, Polandia, dan Rumania," tulis Cyware Hacker News, Senin (22 Juni 2020).

Intrusi terhadap sistem Avon disebabkan oleh serangan ransomware yang dilakukan oleh para hacker yang tergabung dalam geng DoppelPaymer.

Geng DoppelPaymer belum mencantumkan nama Avon di 'situs kebocorannya', tetapi perusahaan cybersecurity Polandia, Niebezpiecznik, mengklaim telah menerima informasi tentang serangan yang dilakukan oleh geng DoppelPaymer.

Kelompok DoppelPaymer mengikuti taktik baru exfiltrating (mengupas) data dari jaringan yang terinfeksi sebelum mengenkripsi file pengguna dan mengancam akan melakukan "Data Dumping" jika korban tidak membayar uang tebusan.

Pada Juni 2020, operator ransomware DoppelPaymer menginfeksi jaringan Digital Management Inc. (DMI), salah satu kontraktor IT NASA.

Sebelumnya, pertengahan April 2020, geng DoppelPaymer menargetkan City of Torrance of Los Angeles dan membocorkan sekitar 200+ GB file yang dicuri. Bulan ini juga, geng DoppelPaymer membocorkan rincian insiden yang dialami Boeing, Lockheed Martin, SpaceX, dan Tesla.

"Semua terjadi setelah kontraktor Visser Precision dan korban lainnya menolak membayar tebusan."

November 2019, Microsoft menerbitkan panduan agar terhindar dari serangan geng DoppelPaymer. Salah satu penekanan Microsoft adalah geng ini bergerak melalui operator manusia dari jarak jauh yang menggunakan kredensial Admin Domain yang ada untuk menyebar ke seluruh jaringan perusahaan/organisasi.

Microsoft kemudian menyarankan organisasi/enterprise harus mengimplementasikan segmentasi jaringan, menggunakan kredensial yang kuat, dan seminimal mungkin memberikan hak istimewa kepada pengguna, terutama saat memberikan akses jarak jauh.[]